{"id":1487,"date":"2018-10-08T11:12:32","date_gmt":"2018-10-08T09:12:32","guid":{"rendered":"http:\/\/clark.tipistrani.it\/?p=1487"},"modified":"2019-03-28T08:46:38","modified_gmt":"2019-03-28T07:46:38","slug":"loggare-iptables-in-un-file-diverso-da-syslog","status":"publish","type":"post","link":"https:\/\/clark.tipistrani.it\/?p=1487","title":{"rendered":"Loggare iptables in un file diverso da syslog"},"content":{"rendered":"

I log di iptables sono notoriamente tanto utili quanto invasivi, ci sono diversi modi di raccogliere i log e anche un demone apposta che si chiama ulogd, sino ad arrivare a un DB mysq per la raccolta,personalmente preferisco usare il vecchio metodo del file nella directory \/var\/log.
\nSi tratta di istruire il sistema a salvare in un file diverso da syslog, e in questo ci viene incontro il flag –log-prefix di iptables, i pasi da compiere sono tre, il primo \u00e8 appunto istruire il nostro sistema a mettere un identificativo dei log di ipatbles e questo lo fa lo script di firewall che diventa una cosa del genere nella sezione di log,
\n$IPT -A FORWARD -p tcp -j LOG –log-level info –log-prefix “tcp forward ”
\n$IPT -A FORWARD -p udp -j LOG –log-level info –log-prefix “udp forward ”
\n$IPT -A OUTPUT -o $INTIF -p tcp -j LOG –log-level info –log-prefix “tcp output ”
\n$IPT -A OUTPUT -o $INTIF -p udp -j LOG –log-level info –log-prefix “udp output ”
\n$IPT -A INPUT -i $EXTIF -p tcp -m limit –limit 1\/s –dport 0:65535 -j LOG –log-level \\ info –log-prefix “tcp connection: ”
\n$IPT -A INPUT -i $EXTIF -p udp -m limit –limit 1\/s –dport 0:65535 -j LOG –log-level \\ info –log-prefix “udp connection: ”
\ne a seguire andiamo a dire al demone di loggin cosa fare con quegli identificativi, quindi si crea nella directory \/etc\/rsyslog.d un file iptables.conf che contiene queste righe:
\n:msg, startswith, “tcp connection: ” -\/var\/log\/iptables.log
\n& STOP
\n:msg, startswith, “udp connection: ” -\/var\/log\/iptables.log
\n& STOP
\n:msg, startswith, “tcp forward: ” -\/var\/log\/iptables.log
\n& STOP
\n:msg, startswith, “udp forward: ” -\/var\/log\/iptables.log
\n& STOP
\n:msg, startswith, “tcp output: ” -\/var\/log\/iptables.log
\n& STOP
\n:msg, startswith, “udp output: ” -\/var\/log\/iptables.log
\n& STOP<\/p>\n

Al fine di evitare di avere un file di dimensioni esagerate istruiamo logrotate a creare un file per giorno e a tenere i log di una settimana, nella directory logrotate.d creiamo uno script iptables che contiene:<\/p>\n

\/var\/log\/iptables.log\r\n{\r\n\trotate 7\r\n\tdaily\r\n\tmissingok\r\n\tnotifempty\r\n\tdelaycompress\r\n\tcompress\r\n\tpostrotate\r\n\t\tinvoke-rc.d rsyslog rotate > \/dev\/null\r\n\tendscript\r\n}<\/pre>\n
e con questo abbiamo finito, restartiamo rsyslog e lo script di firewall e nella directory \/var\/log si genera il file iptables.log.<\/p>\n
 <\/p>\n
Addendum:<\/p>\n
Visto che come al solito su una macchina funziona in un modo e sulla gemella non c’\u00e8 verso di farla andare neanche piangendo in cinese mandarino antico,\u00a0 la dizione:
\n:msg, startswith, “tcp connection: ” -\/var\/log\/iptables.log
\n& STOP
\npu\u00f2 diventare (deve se volete che funzioni)<\/p>\n
:msg, contains, “tcp connection: ” -\/var\/log\/iptables.log
\n& STOP<\/p>\n
e di conseguenza anche le altre righe.<\/p>\n","protected":false},"excerpt":{"rendered":"
I log di iptables sono notoriamente tanto utili quanto invasivi, ci sono diversi modi di raccogliere i log e anche un demone apposta che si chiama ulogd, sino ad arrivare a un DB mysq per la raccolta,personalmente preferisco usare il vecchio metodo del file nella directory \/var\/log. Si tratta di istruire il sistema a salvare […]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[109,8,14,6],"tags":[103,133,132],"class_list":["post-1487","post","type-post","status-publish","format-standard","hentry","category-firewall","category-linux","category-networking","category-work","tag-iptables","tag-logrotate","tag-rsyslog"],"_links":{"self":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1487","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1487"}],"version-history":[{"count":5,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1487\/revisions"}],"predecessor-version":[{"id":1603,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=\/wp\/v2\/posts\/1487\/revisions\/1603"}],"wp:attachment":[{"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/clark.tipistrani.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}